如何使用 C# 安全地将数据插入 MySQL：AddWithValue 与占位符？

C# 与 MySQL：利用 INSERT 参数进行安全数据输入

在 C# 编程中，将数据插入 MySQL 数据库需要仔细考虑，以避免安全漏洞。本指南解决了 INSERT 命令中的参数绑定问题，提供了安全有效的解决方案。

问题

使用 MySqlCommand 时，使用 Add 方法指定参数不使用 AddWithValue 或传递正确的参数名称可能会导致空值插入或语法错误。这可能会损害数据完整性并使应用程序遭受 SQL 注入攻击。

解决方案

为了确保安全的数据绑定，有两种推荐的方法：

AddWithValue 方法：

通过使用 AddWithValue 方法，您可以安全地将值插入到参数中，而无需担心参数名称或数据类型转换。

string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString;
MySqlConnection conn = new MySqlConnection(connString);
conn.Open();
MySqlCommand comm = conn.CreateCommand();
comm.CommandText = "INSERT INTO room(person,address) VALUES(@person, @address)";
comm.Parameters.AddWithValue("@person", "Myname");
comm.Parameters.AddWithValue("@address", "Myaddress");
comm.ExecuteNonQuery();
conn.Close();

使用？占位符：

或者，您可以使用 ? INSERT 命令中的占位符并添加参数如下：

string connString = ConfigurationManager.ConnectionStrings["default"].ConnectionString;
MySqlConnection conn = new MySqlConnection(connString);
conn.Open();
MySqlCommand comm = conn.CreateCommand();
comm.CommandText = "INSERT INTO room(person,address) VALUES(?person, ?address)";
comm.Parameters.Add("?person", "Myname");
comm.Parameters.Add("?address", "Myaddress");
comm.ExecuteNonQuery();
conn.Close();

无论使用哪种方法，您都可以安全地将数据插入 MySQL 数据库，防止空值插入和 SQL 注入漏洞。

以上是如何使用 C# 安全地将数据插入 MySQL：AddWithValue 与占位符？的详细内容。更多信息请关注PHP中文网其他相关文章！